Переадрисация на другие сайты и посторонняя реклама на сайтх

Printable View

07.11.2016, 14:00
Владимир12

Вложений: 3

Переадрисация на другие сайты и посторонняя реклама на сайтх

На разных сайтах идет переадрисация на "посторонние" сайты. Также появляется реклама эротического характера. Помогите пожалуйста!
[ATTACH]646153[/ATTACH]
[ATTACH]646154[/ATTACH]
[ATTACH]646155[/ATTACH]
07.11.2016, 14:02
Info_bot

Уважаемый(ая) [B]Владимир12[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.11.2016, 07:19
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Содержание OneNote.onetoc2', '');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SearchGo\searchgo.dll', '');
QuarantineFile('C:\Program Files\Youtube AdBlock\IEEF\E5VeQV2M.dll', '');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\ComDev\ComDev.exe', '');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Содержание OneNote.onetoc2', '32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\SearchGo\searchgo.dll', '32');
DeleteFile('C:\Program Files\Youtube AdBlock\IEEF\E5VeQV2M.dll', '32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\ComDev\ComDev.exe', '32');
DeleteFileMask('c:\documents and settings\admin\local settings\application data\searchgo', '*', true);
DeleteFileMask('c:\program files\youtube adblock', '*', true);
DeleteFileMask('c:\documents and settings\admin\local settings\application data\comdev', '*', true);
DeleteDirectory('c:\documents and settings\admin\local settings\application data\searchgo');
DeleteDirectory('c:\program files\youtube adblock');
DeleteDirectory('c:\documents and settings\admin\local settings\application data\comdev');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
DelBHO('{95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B}');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\ComDev.job" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kwlrcgnrzs');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
08.11.2016, 14:19
Владимир12

Вложений: 3

Сделал все как написано. Отправляю файлы
[ATTACH]646258[/ATTACH]
[ATTACH]646259[/ATTACH]
[ATTACH]646260[/ATTACH]
И еще когда что-либо ищешь в яндексе или гугле перенаправляет на какой то сайт (это видно по адресной строке) и сразу же на поисковик mail.ru
08.11.2016, 20:41
Vvvyg

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования eстановите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
09.11.2016, 13:59
Владимир12

Вложений: 2

Всё сделал. Реклама и переадрисация остались.
[ATTACH]646358[/ATTACH]
[ATTACH]646359[/ATTACH]
09.11.2016, 21:01
Vvvyg

[QUOTE]uVS v3.85.24 [[url]http://dsrt.dyndns.org][/url][/QUOTE]
Зачем я дал ссылку на актуальную версию Universal Virus Sniffer? Очень многого не видно наверняка, придётся повторную проверку делать >:(

Скачайте свежий UVS и в нём [url=http://virusinfo.info/showthread.php?t=121769]выполните скрипт:[/url][code];uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СОДЕРЖАНИЕ ONENOTE.ONETOC2
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СОДЕРЖАНИЕ ONENOTE.ONETOC2
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
regt 28
regt 29
;-------------------------------------------------------------

delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B6D1F7D2E-DA22-455A-953C-1DEA614B0BAF%7D&GP=811014
delref HTTP://MAIL.RU/CNT/10445?GP=818407
delref %SystemDrive%\PROGRAM FILES\UBISOFT\UBISOFT GAME LAUNCHER\NPUPLAYPC.DLL
delref HTTP://GRANENA.RU/?UTM_CONTENT=31B5CEBD524A9AF6C7A772DCA81815E9&UTM_SOURCE=STARTPM&UTM_TERM=6AB990FC63FE540E67B406B15DA988C0&UTM_D=20161103
delref HTTP:\\GO-SEARCH.RU\?UTM_SOURCE=QUICKLAUNCH
delref HTTP:\\IMATIRO.RU\?UTM_SOURCE=QUICKLAUNCH03&UTM_CONTENT=6AC7408278BF483402647C4FDE29C433&UTM_TERM=6AB990FC63FE540E67B406B15DA988C0&UTM_D=20161103
delall D:\DRIVER UPDATER\DUPDATER.EXE
deltmp
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ICQM\ICQ.EXE
czoo
restart[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS.
10.11.2016, 14:42
Владимир12

Вложений: 3

Здравствуйте. Осталось всё по прежнему. К сожалению не смог отправить карантин - архив появился с расширением 7z, а не zip. Как поменять не знаю. Отправляю скрин с название сайта который выскакивает при переадресации [ATTACH=CONFIG]646449[/ATTACH]
[ATTACH]646437[/ATTACH]
[ATTACH]646438[/ATTACH]
10.11.2016, 22:02
Vvvyg

[QUOTE=Владимир12;1412912]ЗК сожалению не смог отправить карантин - архив появился с расширением 7z, а не zip.[/QUOTE]
Потому что Вы упорно второй раз игнорируете ссылку на свежую сборку UVS специально для этого форума, которая пакует карантин именно в .zip :>
Загрузите на rghost.ru и дайте ссылку [B][COLOR="#B22222"]в личном сообщении[/COLOR][/B].

Попробуйте [URL="https://www.google.ru/chrome/cleanup-tool/"]Инструмент очистки Chrome[/URL].
11.11.2016, 19:56
Владимир12

Вложений: 1

Выполнял все действия uvs 3.87, но пакует в 7z. Карантин отправил- через настройки перепаковал 7z на zip. "Попробуйте Инструмент очистки Chrome." - у меня XP, а там только для 7,8,10 пишет [ATTACH=CONFIG]646539[/ATTACH]. На [COLOR=#333333][FONT=Verdana]rghost.ru пробовал скачивать пишет осторожно поддельный сайт...[/FONT][/COLOR]
12.11.2016, 13:35
Vvvyg

[QUOTE=Владимир12;1413159]Выполнял все действия uvs 3.87, но пакует в 7z.[/QUOTE]

А по ссылке на Яндекс.Диск - специальная сборка с UVS 3.87.7, которая пакует в .zip. Сообщение #5 прочитайте внимательно.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
12.11.2016, 17:08
Владимир12

Вложений: 1

На Яндекс.Диск та же самая версия и тоже пакует в 7z ( может у меня в настройках так установлено?!)
[ATTACH=CONFIG]646614[/ATTACH]
12.11.2016, 20:14
Vvvyg

Если отключить все расширения в Хроме?
13.11.2016, 16:57
Владимир12

Было расширение avast - отключил его и всё стало нормально. Также сбросил все настройки Хрома. Рекламы и переадресации нет. Посмотрю что будет дальше. Спасибо огромное!
13.11.2016, 21:01
Vvvyg

Значит, подменили расширение.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Прикрепите этот файл к сообщению.
14.11.2016, 17:24
Владимир12

Вложений: 1

[ATTACH=CONFIG]646842[/ATTACH]
По рекомендации всё обновил.
14.11.2016, 19:25
Vvvyg

Всё на этом.

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
14.11.2016, 19:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]